As bases legais para tratamento de dados da criança

Migalhas de IA e Proteção de Dados

A Lei Geral de Proteção de Dados Pessoais (lei 13.709/18) admite em seu artigo 14 (seção III, do Capítulo II) as crianças e adolescentes como titulares de dados pessoais. Ainda que assim não o fizesse, as garantias de direitos a crianças e adolescentes são uma derivação direta do seu reconhecimento constitucional como pessoa em condição de vulnerabilidade e em desenvolvimento. Significa dizer que as crianças e adolescentes devem ter resguardados e promovidos, em caráter prioritário, os direitos fundamentais e as garantias que são previstas não só no artigo 5º, como também no art. 227 e seguintes, da Constituição Federal. O caput do artigo 14 reitera esse entendimento ao reconhecer que o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado sempre em seu melhor interesse.

Apesar de indicar no caput o adolescente como titular de dados pessoais, o conjunto de parágrafos do artigo 14 não deixa dúvidas acerca do seu alcance limitado a crianças, na medida em que em nenhuma outra oportunidade faz menção ao termo adolescente . A restrição é estabelecida logo no parágrafo 1º com a dicção literal: "o tratamento de dados pessoais de crianças deverá ser realizado (...)", para então, nos parágrafos subsequentes, fazer referência sempre aos termos do que está disposto neste parágrafo inicial. Significa dizer que os adolescentes terão tutelados os seus dados pessoais sempre à luz do princípio do melhor interesse, mas as regras específicas previstas no artigo 14 e seus parágrafos só serão aplicadas às situações de tratamento de dados de crianças.

No que tange às crianças, além da obtenção do consentimento específico e em destaque (artigo 14, § 1º), outras obrigações são impostas aos controladores. De acordo com o parágrafo 2º, o controlador tem o dever de publicidade em relação aos tipos de dados coletados, forma de uso, bem como dos procedimentos para o exercício dos direitos dos titulares, na forma do artigo 18, LGPD. Tal imposição, de certo modo, reforça o princípio da transparência (artigo 6º, VI), que garante aos titulares informações claras e de fácil obtenção sobre as operações de tratamento e seus agentes. No mesmo sentido, o artigo 9º faculta ao titular acesso facilitado sobre seus dados pessoais. A diferença entre o mandamento de publicidade contido no parágrafo 2º do artigo 14, e da garantia de acesso do artigo 9º, LGPD, parece estar na disposição a priori e generalizada sobre o tratamento de dados de crianças, em contraposição à necessidade de solicitação individual e específica em se tratando de dados de adultos (e adolescentes).

Em seguida, o parágrafo 3º do artigo 14 apresenta duas exceções à exigência do consentimento dos pais ou representantes para a coleta de dados de crianças, quais sejam, a necessidade de que esse tratamento seja realizado com o objetivo de contactar os seus responsáveis, ou para a sua imediata proteção. Importa ressaltar que a exceção à obrigatoriedade do consentimento diz respeito à atividade de tratamento específica da coleta, não alcançando as outras formas de tratamento descritas no artigo 5º, X, da LGPD, a exemplo de classificação, reprodução e distribuição. Inclusive o texto legal veda o armazenamento e compartilhamento dessa informação. Destaca-se a imprecisão do termo "proteção" para embasar a exceção ao consentimento. Andaria melhor uma conceituação mais específica, pois "proteção da criança" pode significar sua defesa, segurança, acolhimento, cuidado, amparo, ajuda, entre outros sentidos.

De modo a reforçar a proteção de crianças em atividades de entretenimento na internet, o parágrafo 4º impõe que o controlador não exija o fornecimento de informações do titular além do estritamente necessário. O objetivo é evitar que se estabeleçam políticas conhecidas por "tudo ou nada", que obrigam o usuário a concordar com todas as disposições sob pena de não acessar o serviço¹. No entanto, não é evidente a quais informações o legislador se refere quando determina que o controlador se restrinja às "estritamente necessárias à atividade". Cabe ressaltar que a depender do tipo de conteúdo oferecido existirá uma ampla variedade nesta esfera, a exemplo de dados de localização e acesso à câmera dos dispositivos para jogos envolvendo realidade aumentada.² A categoria de brinquedos conectados à internet também é fonte de preocupação quanto ao volume de informações havendo o risco de se transformar em um espião dentro do quarto da criança, enviando seus dados sem o consentimento dos pais³.

Além disso, caberá ao controlador os esforços para garantir que o consentimento foi de fato dado pelo responsável da criança (§ 5º) . Trata-se de uma obrigação a ser cumprida pelo agente de tratamento levando em consideração o estágio tecnológico atual. O desafio que se impõe é a garantia do envolvimento do responsável. A agência norte-americana Federal Trade Comission (FTC) traz algumas sugestões para as organizações que precisam atender a mandamento semelhante presente no Children's Online Privacy Protection (COPPA). Para o acesso a atividades que demandam transações monetárias, a etapa da verificação parental parece se resolver mais facilmente com o uso do cartão de crédito e o sistema de notificação por compras realizadas⁴. A comprovação de identidade representa um desafio aos agentes de tratamento não só no âmbito do processamento de dados de crianças, mas também nas situações relacionadas ao exercício dos direitos dos titulares na forma do artigo 18.

Importante ressaltar que além das duas exceções ao consentimento parental já mencionadas no § 3º (artigo 14), existem outras hipóteses que podem legitimar operações com dados de crianças. Os artigos 7º e 11, da LGPD, indicam as bases legais que autorizam o tratamento de dados pessoais e de dados pessoais sensíveis, respectivamente. No entanto, ao trazer regras específicas para o tratamento de dados pessoais de crianças e adolescentes em sessão própria (III) do capítulo II, é preciso identificar se e quais hipóteses gerais (artigos 7º e 11) se aplicam a menores.

Entende-se que as bases legais constituem um rol taxativo que deve ser observado pelos controladores ao indicarem a fundamentação para o tratamento de dados pessoais. Se, dentre as bases legais previstas, não houver hipótese para o enquadramento do tratamento, restará ao controlador dois requisitos sobre os quais constituir a sua fundamentação: o consentimento do titular ou o legítimo interesse do controlador. Estas seriam bases legais residuais⁵. Portanto, a dinâmica no que se refere às crianças indica que o consentimento na forma como é estabelecido no artigo 14, § 1º será o requisito legal mandatório quando outras hipóteses relacionadas tanto no artigo 7º, quanto no artigo 11, não se constituírem como enquadramento adequado, ressalvado o legítimo interesse do controlador.

É o caso da hipótese de cumprimento de obrigação legal ou regulatória pelo controlador (Art. 7º, II) quando, por exemplo, a instituição de ensino infantil público ou particular deve enviar dados dos alunos para o MEC para fins relacionados ao Censo Escolar. Da mesma forma, ainda em ambiente escolar, pode se fazer necessário o compartilhamento de dados da criança com determinado serviço de saúde para seu atendimento em situação de emergência. Neste caso, a legitimidade do tratamento é extraída do artigo 11, II, f: tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Há que se considerar também a hipótese de tratamento de dados de crianças pela Administração Pública para o desenvolvimento de políticas públicas em âmbito educacional ou de saúde, na forma dos artigos 7º, III e 11, II, b. Adicionalmente pode-se entender que a base legal veiculada no artigo 7º, X, proteção do crédito, é autorizativa para a investigação de fraudes envolvendo dados de crianças (fraude contra credores ou fraude à legítima, por exemplo).

A intenção aqui não é exaurir as possibilidades de tratamento de dados infantis fora da regra do artigo 14, § 1º, qual seja: consentimento de um dos pais ou responsável legal da criança, mas tão simplesmente fazer a leitura integrada com as demais hipóteses legais da LGPD. Contudo, em homenagem à posição de vulnerabilidade própria da criança deveriam as bases legais dos artigos 7º e 11 serem submetidas, a priori, ao princípio do melhor interesse? Se sim, podemos assumir que estamos diante de uma cláusula geral de força significativa, a ponto de dificultar ou mesmo impedir a aplicação dos artigos 7 º e 11? De todas as hipóteses dos artigos em referência (7 º e 11), o interesse legítimo do controlador ou de terceiro é a que mais desafia à reflexão.

A primeira conclusão é a de que se o tratamento de dados pessoais precisa ser realizado nos termos do melhor interesse naquilo que lhe é especial, e com camada extra de proteção conforme o artigo 14, também o deverá ser naquilo que lhe é geral (artigos 7^o e 11). Entretanto, em situação peculiar se encontra o interesse legítimo do controlador ou de terceiro (artigo 7^o, IX). Neste caso, entendemos pela incompatibilidade desta base legal aplicada ao tratamento de dados de crianças e adolescentes por um motivo principal: a cláusula geral do melhor interesse se impõe como filtro antecedente tornando prejudicada a possibilidade de qualquer outro interesse prevalecer além daquele (criança ou adolescente). Nesse sentido é como entende Roberta Mauro Medina Maia para quem "(...) como se sabe, em muitos casos, a cláusula geral de legítimo interesse do controlador será utilizada justamente para que os interesses deste na coleta e no tratamento dos dados pessoais possam se sobrepor aos interesses do titular, quando eventualmente contrapostos".⁶

Outro motivo para apontarmos a incompatibilidade entre a aplicação do legítimo interesse e o tratamento de dados de crianças e adolescentes é o fato de estamos diante de uma base legal que é em si mesma uma cláusula geral. Assim sendo, a flexibilidade garantida à sua aplicação, ainda que limitada pela análise do caso concreto e atrelada ao princípio da finalidade, não se coaduna com o maior rigor exigido ao tratamento de dados de crianças e adolescentes. Por esse ângulo, avocando de maneira preliminar o princípio do melhor interesse, somado às características intrínsecas de flexibilidade e abertura próprias da base legal do legítimo interesse, entendemos pela impossibilidade de sua aplicação no que diz respeito ao tratamento de dados de crianças e adolescentes.

Em conclusão, percebe-se que o sentido da norma do artigo 14, in totum, da LGPD, é resguardar os interesses das crianças, na medida em que consideradas sem o necessário discernimento para manifestar o consentimento para o tratamento de seus dados. E que aos adolescentes, incluídos na redação do artigo, deve ser garantida a sua plena manifestação por meio do consentimento, mas que este deverá ser sempre limitado ou filtrado pelo princípio da prioridade absoluta e do melhor interesse que guiam toda relação jurídica que tenham as crianças e os adolescentes como seus sujeitos.

Mariana Palmeira é Advogada. Professora da PUC-Rio. Pesquisadora do Legalite (Núcleo de Pesquisa em Direito e Tecnologia). Doutoranda em Teoria do Estado e Direito Constitucional pela PUC-Rio.

Caitlin Mulholland é Professora da PUC-Rio. Coordenadora do Legalite (Núcleo de Pesquisa em Direito e Tecnologia). Doutora em Direito Civil pela UERJ.

__________

1 TEFFÉ, Chiara Spadaccini de. Tratamento de dados pessoais de crianças e adolescentes: considerações sobre o artigo 14 da LGPD. In: Mulholland, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago, 2020. p. 171.

2 Um exemplo típico é o Pokemon GO, disponível para Android e IOS, voltado para pessoas a partir de 9 anos, conforme informação do desenvolvedor (Niantic). O jogo é uma combinação de realidade aumentada com múltiplos participantes no ambiente online (MMO).

3 LEAL, Livia Teixeira. Internet of toys: os brinquedos conectados à internet e o direito da criança e do adolescente. Revista Brasileira de Direito Civil - RBDCIVIL | Belo Horizonte, vol. 12, p. 175-187, abr./jun. 2017.

4 No entanto, para todas as demais atividades que não envolvem pagamento e que são destinadas a crianças, a verificação proposta pelo FTC conforme mencionada anteriormente, parece se mostrar distante da realidade. Como exemplo a FTC lista as seguintes sugestões: consentimento por escrito enviado ao controlador por meio de carta, fax, ou e-mail; consentimento por voz através de um número gratuito; vídeo-chamada; submissão da carteira de motorista do responsável seguida pelo envio de uma foto e do subsequente recurso de reconhecimento facial para confirmação da identidade.

5 Nesse sentido, "há também menção na LGPD a hipóteses de tratamento de dados de menores sem necessidade de consentimento. Como afirmado na primeira parte do texto, o consentimento é uma das bases legais para o tratamento de dados, mas não a única. No caso em tela, que envolve menores de idade, não foi estabelecida norma com rol específico para o tratamento de dados desses sujeitos, devendo ser aplicadas como regra, as disposições dos artigos 7o e 11". TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e proteção de dados pessoais na LGPD. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (org.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 2. ed. São Paulo: Thomson Reuters Brasil, 2020. Cap. 10. p. 282-318.

6 MAIA, Roberta Mauro Medina. O legítimo interesse do controlador e o término do tratamento de dados pessoais. In: Mulholland, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago, 2020. p. 104.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de IA e Proteção de Dados

As bases legais para tratamento de dados da criança e a abrangência dos parágrafos do artigo 14, da LGPD